技術領域

本發明涉及互聯網應用領域，具體涉及一種日志處理方法及裝置。

背景技術

隨著互聯網的快速發展，每天都會涌現出大量的軟件。從軟件安全性來區分，有些軟件是安全的，有些軟件是不安全的惡意軟件，例如熊貓燒香。而這些軟件大多數都是通過互聯網分發的，其中，下載站、論壇、官方網站下載鏈接是軟件發布的重要渠道。

由于每天都會出現大量的軟件，并且大部分下載站、論壇都允許用戶自由提交內容。例如，很多下載站、論壇都會提供上傳組件，普通的網站用戶通過這些組件就可以將自己想發布的軟件上傳，供其他用戶下載使用。因此，對于軟件的安全性鑒別很難做到快速識別。特別是在云安全系統中，大批量的軟件，讓使用者甚至是管理者也很難對新生惡意軟件進行快速區分和識別。而不法分子恰好可以利用這一點，傳播病毒、木馬、強制捆綁插件等惡意樣本。這一方面帶來了巨大的網絡安全隱患，另一方面又給有下載需求的用戶造成了很大的安全風險。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的日志處理裝置和相應的日志處理方法。

依據本發明的一個方面，提供了一種日志處理方法，適用于具有海量下載日志的云安全系統，包括：

分析原始下載日志，獲取各日志的標識信息；

利用預設的日志規則匹配已獲取的標識信息；

根據匹配結果對相應日志進行處理。

可選地，所述根據匹配結果對相應日志進行處理，包括：

若當前日志的標識信息與某一日志規則匹配，獲取匹配的日志規則所對應的日志動作；

根據獲取的日志動作對所述當前日志進行處理，其中，日志動作是預設置的，且與日志規則相對應。

可選地，所述根據匹配結果對相應日志進行處理，還包括：

若當前日志的標識信息與某一日志規則匹配，標識該日志對應的下載任務樣本為可信樣本；以及

將匹配的標識信息保存到數據庫中。

可選地，在對日志的處理過程中，還包括：

在數據庫中保存統計結果，其中，所述統計結果包括：各日志的處理過程及結果，以及各日志規則的匹配結果。

可選地，所述日志動作包括下列至少之一：動作名稱、具體動作、附加參數。

可選地，所述根據匹配結果對相應日志進行處理，包括：

若當前日志的標識信息與日志規則匹配失敗，

定期提取失敗的日志，重新與日志規則匹配，其中，該日志規則隨時間更改設置。

可選地，所述對相應日志進行處理之后，包括：利用處理后的日志信息更新白名單數據庫。

可選地，所述原始下載日志為不安全的樣本下載日志。

可選地，所述日志規則包括下列至少之一：

規則名稱、下載鏈域名、下載鏈路徑、父頁面域名、父頁面路徑、文件過濾匹配優先級。

可選地，所述標識信息包括：日志的durl和/或purl信息。

根據本發明的另一方面，提供了一種日志處理裝置，適用于具有海量下載日志的云安全體系，包括：

獲取模塊，配置為分析原始下載日志，獲取各日志的標識信息；

匹配模塊，配置為利用預設的日志規則匹配已獲取的標識信息；

處理模塊，配置為根據匹配結果對相應日志進行處理。

可選地，所述處理模塊還配置為：

若當前日志的標識信息與某一日志規則匹配，獲取匹配的日志規則所對應的日志動作；

根據獲取的日志動作對所述當前日志進行處理，其中，日志動作是預設置的，且與日志規則相對應。

可選地，上述裝置還包括：

可信樣本存儲模塊，配置為若當前日志的標識信息與某一日志規則匹配，標識該日志對應的下載任務樣本為可信樣本，并保存匹配的標識信息。

可選地，上述裝置還包括：

統計結果保存模塊，配置為在數據庫中保存統計結果，其中，所述統計結果包括：各日志的處理過程及結果，以及各日志規則的匹配結果。

可選地，所述處理模塊還配置為：

若當前日志的標識信息與日志規則匹配失敗，

定期提取失敗的日志，重新與日志規則匹配，其中，該日志規則隨時間更改設置。

可選地，上述裝置還包括：

數據更新模塊，配置為利用所述處理模塊處理后的日志信息更新白名單數據庫。